# Redis TLS Origination ## through the sidecar Author: Sam Stoelinga | Twitter: samosx | GitHub: samos123 Based on blog post: https://samos-it.com/posts/securing-redis-istio-tls-origination-termination b7de26979d7d39120/p2_2.jpg) ## I stio TLS Origination - app talks unencrypted TCP to Redis - Sidecar istio-proxy encrypts the Redis traffic and sends to external redis - App doesn’t need to configure f/1/7/4/f17418912988675b7de26979d7d39120/p5_3.jpg) ## How to do Redis TLS origination with the sidecar? 1. Create ServiceEntry for external service such that Istio knows about Redis 2. Create DestinationRule

Service Mesh 落地之后: 为 sidecar 注入灵魂 周群力 Co-founder of Layotto  • Service Mesh 回顾 • Multi Runtime: 从 sidecar 到机甲 • Runtime API: API: 解决跨云部署和厂商绑定难题 • WebAssembly in sidecar: 让业务逻辑跑在sidecar里 • 展望2022：待解决的问题 • 总结 ## Service Mesh 回顾 ## 由开发了 Linkerd 的Buoyant 公司提出 Service Mesh's Control Plane  服务路由 负载均衡 熔断限流 应用 业务逻辑 SDK 通信序列化协议 sidecar 服务路由 负载均衡 熔断限流 ## 进程通信 • 升级成本高 业务解耦 • SDK 版本不统一 • 平滑升级 异构语言治理能力弱 异构语言治理 ![Image](/uplo

## Stabilizing Istio Istio sidecar proxy specifications • Kubernetes shortcomings with sidecar containers Controlling containers lifecycle ☐ Autoscaling pods with sidecar containers • Are you prepared ## Stabilizing Istio ## I stio sidecar proxy specifications Pod App container All incoming traffic must flow through the sidecar first when entering the pod Sidecar container All outgoing traffic traffic must flow through the sidecar before leaving the pod ## Stabilizing Istio ## What happens when the sidecar container is not ready? Pod App container ![Image](/uploads/documents/8/5/e/0/85e00364ff

Proxy sidecar  Service ## Control Plane Raw metrics Certs, ACLs... HTTP/1 HTTP/2 gRPC Pod Proxy sidecar  #### Sidecar envoy proxy readiness probe failing - Istio 1.6.7 #26792 Siddharthk opened this issue on 25 Aug

在打开的页面中可以看到Istio默认安装的命名空间、发布名称；通过勾选来确认是否安装相应的模块，注意勾选下Kiali； 点击 部署Istio 按钮，几十秒钟之后即可完成部署。 ## 自动 Sidecar 注入 查看namespace: 概览 ▼ 集群 集群 节点 存储卷 命名空间 ![Image](/uploads/documents/d/7/9/d/d79d43d2460b4

8.11 ## 分享内容 ●基于 Secret Discovery Service Sidecar 的证书管理方案 ● 使用可信身份服务构建敏感数据下发通道 ●Service Mesh Sidecar 的 TLS 生产级落地实践 ## 基于 Secret Discovery Service Sidecar 的证书管理方案 ## Kubernetes Secret 证书管理流程 在 Kubernetes Secret 更新时，Sidecar 需要通过热重启方式重新加载，成本高昂 ## 基于 Secret Discovery Service Sidecar 的证书管理方案 ## Envoy SDS 证书管理流程 Secret Discovery Service 是 Envoy 提出的 Sidecar 证书管理方案，方案的核心流程在于引入 SDS Server 进行密钥管理和分发，Sidecar 通过 gRPC 请求获取证书，并利用 gRPC stream 能力实现证书动态轮转。当然，Sidecar 和 SDS Server 的通信也需要保证自身的通信安全，存在以下两种方案： ● Sidecar 与 SDS Server 采用 mTLS 通信，采用静态证书方案，通过 Secret Mount 方式获取通信证书 ● Sidecar 与 SDS Server 采用 UDS 方式实现纯内存通信，不需要使用证书。

Data-Plane Hot-Upgrade 阿里云服务网格团队－史泽寰 ## 目录 Catalog ## - 为什么需要服务网格数据面热升级 - 实现热升级 - 实践热升级 ## 传统Sidecar升级方式的缺点 • 造成请求失败，影响业务质量 • 重启Pod导致业务容器也被重启，需要执行重新初始化 • 不增加workload数量升级，则服务容量受损 - 增加workload保持服 人满意的平衡 ## 为什么需要服务网格数据面热升级 Why do we need Hot-Upgrade for ServiceMesh Data-Plane ## 理想的Sidecar升级 - 只替换/重启Sidecar - 替换/重启过程中进/出不会出现请求失败，连接失败 • 易于运维，可以控制升级策略 ## 目录 Catalog - 为什么需要服务网格数据面热升级 - 实现热升级 Implement Hot-Upgrade ## • Sidecar生命周期管理能力 启动两个Sidecar，以进行Envoy热重启的排水流程两个实例并存的阶段 • 能够对整个热升级流程中的镜像替换进行控制 ## 实现热升级 Implement Hot-Upgrade ## • Sidecar生命周期管理能力 启动两个Sidecar，以进行Envoy热重启的排水流程两个实例并存的阶段 •

ProtocolConverter interface { Multiplexing Convert(data []byte) (map[string]string, []byte) } 解包是对 SIDECAR 代理性能影响最大的因素 多路复用是基本能力，其他能力需要在多路复用能力上构建 协议装换能力允许使用 HTTP2 作为 SOFA-MOSN 之间的通讯协议 ## 基于能力分层的插件化扩展框架

alt=‘OCR图片’/> 第四部分 如何用 Go 实现 Service Mesh ’ alt=‘OCR图片’/> 一套 Service Mesh 的通用架构 Sidecar模型应用最广 通过 webhook 实现 sidecar 自动注入 Sidecar中进行流量代理和拦截 Controller处理配置翻译和服务发现 ’ alt=‘OCR图片’/> 配置规范 SMI SMI是一套中立的规范 & progressive delivery controller (argoproj.io) 第五部分 我们有哪些收获 ’ alt=‘OCR图片’/> 收获和方向调整 全新的采用 sidecar 模型的通用型 Service Mesh 很难短时间展露头角 企业内自研的方案不在此列 SMI度过“甜蜜期”后，后续投入很少 Gateway API （GAMMA）成为主要方向 借力社区会更利于开源项目发展

Service Mesh (Sidecar模式) 部署在K8s上 非SM 应用终极形态 部署在K8s上 Service Mesh (Istio模式) 不现实 K8s普及在即， 不适合再大面积 铺开，快速会师 部署在非k8s上 部署在 非k8s上 Service Mesh (Istio模式) Service Mesh (Sidecar模式) 带完善的控制平面，如Istio 带完善的控制平面，如Istio 只有Sidecar，直接集成周边 Service Mesh (Istio模式) Istio的非k8s支持投入产出比太差 Service Mesh (Sidecar模式) 比较理想，绝大部分投入最终都将保留 应用现状 部署在非k8s上 不是Service Mesh形态 ## 演进路线2分析 ## ✓ 和路线1的核心差别 • 是先上k8s，还是先上Service Mesh Mesh • 而且是终极形态的Service Mesh（意味着更偏离目标） ✓ 好处是第一步（非k8s上向Sidecar模式演进）非常自然 • 容易落地 快速达成短期目标 ## ✓ 缺点是再往后走 • 由于没有k8s的底层支持，就不得不做大量工作 • 尤其istio的非k8s支持，工作量很大 而这些投入，在最终迁移到k8s时，又被废弃 ## 结论： • 不符合蚂蚁的远期规划（k8s是我们的既定目标）